Exploit-Informationen zu verkaufen Bug Hunting – auf der Jagd nach Software-Fehlern, Ruhm und Geld

Autor / Redakteur: Ralph Dombach / Stephan Augsten

Je komplexer eine Software ist, umso wahrscheinlicher sind Programmierfehler. Unter besonderen Umständen kann ein Bug auch zum Sicherheitsrisiko werden. Beispielsweise dann, wenn eine Texteingabe zu einem Stapelüberlauf führt und das Programm erweiterte Privilegien erhält. An diesem Punkt werden Bug-Hunter aktiv.

Firma zum Thema

Bug Hunter suchen nicht mehr nur aus moralischen Gründen nach Schwachstellen.
Bug Hunter suchen nicht mehr nur aus moralischen Gründen nach Schwachstellen.
( Archiv: Vogel Business Media )

Bei Bug-Huntern handelt es sich um Experten, die in Programmen nach Fehlern suchen. Bevorzugt werden dabei Security-Bugs, die eine erweiterte Nutzung einer Software ermöglicht – wobei die „erweiterte Nutzung“ eines Programms viele Ausprägungen haben kann. Diese erstrecken sich vom unberechtigten Zugriff auf Daten bis hin zur Ausführung von Programmcode – mitunter sogar auf Administrator-Ebene.

Bug-Hunter sind in den seltensten Fällen an der Ausnutzung der gefundenen Programmierfehler interessiert. Für sie zählt mehr der sportliche Wettbewerb – aber auch die Möglichkeit, mit ihrer Arbeit Geld zu verdienen. Wobei man damit schon bei der aktuellen Problematik angelangt ist. Soll man eine gefundene Sicherheitslücke dem Produkt-Hersteller (gratis) melden oder darf man sie vermarkten? Diese Frage ist immer wieder aktuell.

Aus Anwendersicht ist diese Diskussion überflüssig – denn wichtig ist, dass die Programme fehlerfrei funktionieren und keine Sicherheitslücken öffnen. Bug-Hunter sehen dies sicherlich auch so, allerdings haben Sie noch den Wunsch, dass sie für Ihre Arbeit entlohnt werden. Dieses Ansinnen ist durchaus nachvollziehbar, denn mitunter forscht ein Bug-Jäger mehrere Wochen an einer Sicherheitslücke, bis er sie nachweisbar darlegen kann.

Leider existiert kein einheitlicher oder gar verbindlicher Verhaltenskodex, wie Bug Hunter entlohnt werden. Google bezahlte für entdeckte Schwachstellen im Chrome-Browser an Bug-Hunter mehrere tausend US-Dollar für deren Arbeit. Andere Hersteller hingegen agieren zurückhaltender und bezahlen keine Prämie an die Bug-Jäger.

Vermarktungsmöglichkeiten

Findige Köpfe haben in diesem Umfeld eine neue Geschäftsidee etabliert. Die Rede ist von Bug-Händlern. Hierbei handelt es sich um seriöse Unternehmen, die Bug-Jägern die gefundenen Schwachstellen abkaufen.

Der Markt der Vulnerability/Exploit-Scanner lebt davon, Schwachstellen zu erkennen und deren mögliche Ausnutzung zu verhindern. Ein eingekaufter Bug kann daher wesentlich „billiger“ sein, als wenn das eigene Security-Team danach forscht. Ein guter Scanner, der eine Vielzahl von möglichen Bugs findet/verhindert lässt sich im Security-Umfeld besser verkaufen, als Konkurrenzprodukte die gegen weniger Sicherheitslücken schützen.

Auch über Wettbewerbe kommen Bug-Jäger zu Ruhm und Geld. Dominierend ist hier vor allem Pwn2Own von der Zero-Day-Initiative. Als zu attackierende Objekte wurden im letzten Wettbewerb die Browser mehrerer Hersteller sowie verschiedene Handys bzw. Smartphones vorgegeben. Wer hier erfolgreich angreifen konnte bzw. eine (selbst gefundene) Sicherheitslücke ausnutzte, dem winken Preise und auch die Anerkennung der Szene.

Sofern Bug-Jäger größeren Wert auf Reputation legen, können sie ihre Arbeitsergebnisse an andere Stelle publizieren. Stellvertretend seien hier die bekannte Exploit Database (EDB) und Social Network Security genannt. Letztgenannte Seite informiert über Sicherheitslücken im Umfeld von Sozialen Netzwerken wie Facebook oder Xing.

Seite 2: Alternative Geschäftsmodelle

Alternative Geschäftsmodelle

Unternehmen, die Sicherheitslücken zur Eigennutzung (Security-Scanner) aufkaufen oder an die Produkt-Hersteller im vereinbarten Rahmen weiterleiten sind die eine Seite der Medaille. Die Kehrseite sind dagegen Cyberkriminelle, die ebenfalls an derartigen Sicherheitslücken interessiert sind. Denn ein guter Exploit erlaubt u.U. den Zugriff auf eine Vielzahl von nützlichen und wertvollen Daten.

Jedoch sollte man an dieser Stelle berücksichtigen, dass hier der Begriff „Cyberkriminelle“ stellvertretend für eine größere Gruppe agiert. Es ist nicht allein der klassische Spam-Versender, der auf E-Mail-Kontaktdaten aus ist, sondern möglicherweise auch ein Wirtschaftsunternehmen oder eine staatliche Organisation.

Eine Sicherheitslücke, die den Zugriff auf Wirtschafts- und Forschungsdaten oder gar militärische Informationen erlaubt, ist für diese Klientel höchst willkommen. Diese Gruppe ist aber auch willens und in der Lage, größere Summen für eine „interessante“ Sicherheitslücke zu bezahlen. Sollte Geld allein nicht genügen, so mag ggf. die Aussicht den Ausschlag geben, dem eigenen Land einen patriotischen Dienst zu erweisen.

Ein großes Problem beim Handel mit Sicherheitslücken besteht darin, dass Anonymität und Vertrauen die Basis für eine Zusammenarbeit zwischen Bug-Hunter und „Kunden“ bilden. Zwei Zustände, die sich widersprechen – denn wie kann man Vertrauen zu einer anonymen Person haben?

Fehlt das Vertrauen, dann muss die Anonymität reduziert werden. Wird diese zu sehr reduziert, ist man nicht nur für den Geschäftspartner sichtbar, sondern auch für andere. Ein Blog-Beitrag von Trend Micro belegt, dass auch Cyberkriminelle im Web ihre Spuren hinterlassen.

Wenn ein Geschäftspartner auffliegt ist u.U. die Enttarnung des Compagnons nicht mehr fern. Eine Anklage nach §202a (Ausspähen von Daten) oder §202c (Vorbereiten des Ausspähens und Abfangens von Daten) ist dann durchaus wahrscheinlich.

Zusammenarbeit

Letztendlich ist Sicherheit ein Geschäft und Sicherheitslücken sind Handelsgüter im Portefeuille. Programm-Hersteller investieren sehr viel Geld in eigene Qualitätsmaßnahmen, Code-Überwachung und weitere Security-Maßnahmen. Ein Obolus an „freie“ Bug-Hunter für deren Arbeit sollte sich im Sicherheits-Budget unterbringen lassen (analog Google/Chrome).

Allerdings ist es auch nachvollziehbar, wenn ein Unternehmen lieber auf die Arbeit der eigenen Mitarbeiter vertraut. Denn es mag ja schwarze Schafe geben, die eine Sicherheitslücke mehrfach verkaufen. In einem solchen Fall hat das Unternehmen für eine nicht exklusive Information bezahlt und muss schnellstmöglich den Bug fixen, bevor er ausgenutzt wird.

Die Jagd auf Security-Bugs ist eine vergleichsweise junge Disziplin innerhalb der IT, die aber in den letzten Jahren enorme gewachsen ist und Erfolge verbuchen kann. Was sich aber über die Jahre noch nicht entwickelt hat, ist eine förderliche Form der Co-Operation! Dass es heutzutage auch „Hacker“ gibt, die den Schutzgedanken in den Vordergrund stellen, mag manchen Verantwortlichen noch ungewohnt vorkommen.

Vielleicht sorgt aber auch ein Sponsor-Ansatz wie der von Microsoft für eine Annäherung der Parteien. Es bleibt zu hoffen, dass man sich baldmöglichst auf einen Code of Conduct einigt, der alle Beteiligten zufriedenstellt und Cyberkriminellen den Zugriff auf neue Sicherheitslücken (weitestgehend) entzieht. Bis es so weit ist, sollte man aber als Anwender drauf achten, die verfügbaren Security-Patche umgehend zu installieren!

(ID:2051067)